1. Milleks see dokumentide pakett on?

See pakett on loodud selleks, et lõpetada kaks kõige ohtlikumat olukorda:

“Meil vist on mingid reeglid…”
“Keegi kuskil teab, kuidas see käib…”

Ja asendada need sellega:

• selged klassifikatsioonitasemed
  
• konkreetsed kasutamise ja jagamise reeglid
  
• turvalised kustutamise meetodid
  
• dokumenteeritud tõendus (registrid)
  

See aitab sul:

• kehtestada andmete klassifitseerimise süsteem (avalik → salajane)
  
• kontrollida, kes mida näeb ja kellega jagab
  
• vähendada andmelekete riski (inimlikud vead + pahatahtlik tegevus)
  
• tõendada auditil, et andmete haldus ei ole juhuslik
  

2. Kellele sobib?

See pakett on tehtud organisatsioonidele, kes:

• töötlevad kliendiandmeid, lepinguid või finantsinfot
  
• peavad vastama NIS2, KüTS või GDPR nõuetele
  
• valmistuvad ISO 27001 auditiks
  
• tahavad lõpetada “failid ringlevad kuskil” olukorra
  

Sobib eriti:

• infoturbejuhile (CISO)
  
• IT-juhile
  
• juhtkonnale
  
• organisatsioonidele, kus andmeid on palju… aga süsteemi ei ole
  

3. Mida saad?

Sa ei saa ühte poliitikat. Sa saad täieliku andmete halduse süsteemi — kolm kihti, mis töötavad koos: poliitika (mida tohib ja mida mitte) → protseduurid (kuidas täpselt teha) → registrid (tõendid, et seda tehti). Poliitika ilma protseduurita on ilukirjandus. Protseduur ilma registrita on auditil väärt null.

Pakett sisaldab 8 dokumenti:

3.1. Andmete halduse dokumentide juhend 

• selgitab, kuidas kogu süsteem tööle panna
  
• annab täitmise järjekorra ja loogika
  

3.2. Andmete halduse poliitika vorm

• kes tohib mida näha, kasutada ja kustutada
  
• seos NIS2, KüTS ja ISO 27001-ga
  

3.3. Andmete klassifitseerimise skeemi vorm

• 4 taset: avalik / sisemine / konfidentsiaalne / salajane
  
• märgistus, edastuskanalid ja reeglid
  

3.4. Andmete kasutamise ja jagamise protseduuri vorm

• igapäevased reeglid töötajatele
  
• lubatud tööriistad ja kanalid
  

3.5. Andmete kustutamise ja hävitamise protseduuri vorm

• millal ja kuidas kustutada
  
• SSD, USB, pilv, paber – kõik kaetud
  

3.6. Andmete lekke ennetamise (DLP) protseduuri vorm 

• kuidas lekkeid ennetada ja tuvastada
  
• 8-sammuline reageerimisplaan
  

3.7. Andmete inventuuri ja klassifitseerimise registri vorm

• kus andmed asuvad
  
• kes vastutab
  
• mis tasemega need on
  

3.8. Andmete kustutamise ja hävitamise aktide registri vorm

• audititõend
  
• iga kustutamine dokumenteeritud

4. KKK

Kas peame täitma kõik kaheksa dokumenti? Poliitika (C4.6.1), klassifitseerimise skeem (C4.6.2), jagamise protseduur (C4.6.3) ja inventuuriregister (C4.6.6) on sisuliselt kõigile kohustuslikud. Kustutamise protseduur ja aktide register on kohustuslikud, kui organisatsioonil on regulaarne andmete kustutamise vajadus. DLP protseduur on tugevalt soovituslik igale organisatsioonile, kes töötleb konfidentsiaalseid andmeid.

Kas see pakett asendab ISO 27001 sertifikaati? Ei, kuid loob selleks tugeva aluse. Pakett katab ISO 27001:2022 Annex A andmete halduse kontrollid ja tõendab auditil, et andmete haldus on dokumenteeritud ja juhitud.

Kas see vastab ka E-ITS nõuetele? E-ITS kohaldub avaliku sektori asutustele. Kui sinu organisatsioon ei ole avaliku sektori asutus, siis E-ITS märkused ei kohaldu.

5. Õiguslik teave

Dokument on näidismaterjal ja praktiline töövahend, mis vajab kohandamist vastavalt organisatsiooni tegevusele, struktuurile ja riskitasemele. Dokument ei kujuta endast õigusnõustamist ega asenda ametlikke juhiseid või järelevalveasutuse nõudeid.

Toote kasutamisel kehtivad Defending Data litsentsitingimused ja kasutus- ja ostutingimused.

6. Taganemisõigus

Digitaalse sisu puhul ei kohaldu 14-päevane taganemisõigus, kui tarbija on andnud nõusoleku sisu koheseks edastamiseks (VÕS § 53 lg 4).

Defending Data dokumendid on loodud juhatuse, mitte bürokraatia jaoks.